#!/bin/sh

#set -vx

# 目前，虽然这个脚本很简单，我们会忽略任何给定的参数。
# 然而，为了向后兼容，这个脚本的未来版本必须支持
# 语法 "update-ca-trust extract"，以触发在 $DEST 中生成输出文件。

DEST=/etc/pki/ca-trust/extracted

# 防止 p11-kit 读取用户配置文件
export P11_KIT_NO_USER_CONFIG=1

# 包含信任标志的 OpenSSL PEM 捆绑包
# (BEGIN TRUSTED CERTIFICATE)
/usr/bin/p11-kit extract --format=openssl-bundle --filter=certificates --overwrite --comment $DEST/openssl/ca-bundle.trust.crt
/usr/bin/p11-kit extract --format=pem-bundle --filter=ca-anchors --overwrite --comment --purpose server-auth $DEST/pem/tls-ca-bundle.pem
/usr/bin/p11-kit extract --format=pem-bundle --filter=ca-anchors --overwrite --comment --purpose email $DEST/pem/email-ca-bundle.pem
/usr/bin/p11-kit extract --format=pem-bundle --filter=ca-anchors --overwrite --comment --purpose code-signing $DEST/pem/objsign-ca-bundle.pem
/usr/bin/p11-kit extract --format=java-cacerts --filter=ca-anchors --overwrite --purpose server-auth $DEST/java/cacerts
/usr/bin/p11-kit extract --format=edk2-cacerts --filter=ca-anchors --overwrite --purpose=server-auth $DEST/edk2/cacerts.bin
